–

pentru Österreichische Datenschutzbehörde, de A. Jelinek și M. Schmidl, în calitate de agenți;

–

pentru WK, de M. Sommer, Rechtsanwalt;

–

pentru Präsident des Nationalrates, de C. Neugebauer și R. Posnik, în calitate de agenți;

–

pentru guvernul austriac, de A. Posch, J. Schmoll, S. Dörnhöfer și C. Leeb, în calitate de agenți;

–

pentru guvernul ceh, de O. Serdula, M. Smolek și J. Vláčil, în calitate de agenți;

–

pentru Comisia Europeană, de A. Bouchagiar, M. Heller și H. Kranenborg, în calitate de agenți,

1

Cererea de decizie preliminară privește interpretarea articolului 16 alineatul (2) prima teză TFUE, precum și a articolului 2 alineatul (2) litera (a), a articolului 51 alineatul (1), a articolului 55 alineatul (1) și a articolului 77 alineatul (1) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO 2016, L 119, p. 1, denumit în continuare „RGPD”).

2

Această cerere a fost formulată în cadrul unui litigiu între Österreichische Datenschutzbehörde (Autoritatea pentru Protecția Datelor, Austria) (denumită în continuare „Datenschutzbehörde”), pe de o parte, și WK, pe de altă parte, în legătură cu respingerea plângerii formulate de acesta din urmă împotriva unei pretinse încălcări a dreptului său la protecția datelor sale cu caracter personal.

3

Considerentele (16), (20) și (117) ale RGPD au următorul cuprins:

[…]

[…]

4

Articolul 2 din RGPD, intitulat „Domeniul de aplicare material”, prevede:

„(1)   Prezentul regulament se aplică prelucrării datelor cu caracter personal, efectuată total sau parțial prin mijloace automatizate, precum și prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr‑un sistem de evidență a datelor sau care sunt destinate să facă parte dintr‑un sistem de evidență a datelor.

(2)   Prezentul regulament nu se aplică prelucrării datelor cu caracter personal:

[…]

(3)   Pentru prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii, se aplică Regulamentul (CE) nr. 45/2001 [al Parlamentului European și al Consiliului din 18 decembrie 2000 privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituțiile și organele comunitare și privind libera circulație a acestor date (JO 2001, L 8, p. 1)]. Regulamentul (CE) nr. 45/2001 și alte acte juridice ale Uniunii aplicabile unei asemenea prelucrări a datelor cu caracter personal se adaptează la principiile și normele din prezentul regulament în conformitate cu articolul 98.

[…]”

5

Articolul 4 din RGPD, intitulat „Definiții”, are următorul conținut:

„În sensul prezentului regulament:

[…]

[…]”

6

Articolul 23 din RGPD, intitulat „Restricții”, prevede la alineatul (1):

„Dreptul Uniunii sau dreptul intern care se aplică operatorului de date sau persoanei împuternicite de operator poate restricționa printr‑o măsură legislativă domeniul de aplicare al obligațiilor și al drepturilor prevăzute la articolele 12-22 și 34, precum și la articolul 5 în măsura în care dispozițiile acestuia corespund drepturilor și obligațiilor prevăzute la articolele 12-22, atunci când o astfel de restricție respectă esența drepturilor și libertăților fundamentale și constituie o măsură necesară și proporțională într‑o societate democratică, pentru a asigura:

[…]

[…]”

7

Articolul 51 din RGPD, intitulat „Autoritatea de supraveghere”, prevede la alineatul (1):

„Fiecare stat membru se asigură că una sau mai multe autorități publice independente sunt responsabile de monitorizarea aplicării prezentului regulament, în vederea protejării drepturilor și libertăților fundamentale ale persoanelor fizice în ceea ce privește prelucrarea și în vederea facilitării liberei circulații a datelor cu caracter personal în cadrul Uniunii («autoritatea de supraveghere»).”

8

Articolul 54 din RGPD, intitulat „Norme privind instituirea autorității de supraveghere”, prevede la alineatul (1):

„Fiecare stat membru prevede, pe cale legislativă, următoarele:

[…]”

9

Articolul 55 din RGPD, intitulat „Competența”, este redactat după cum urmează:

„(1)   Fiecare autoritate de supraveghere are competența să îndeplinească sarcinile și să exercite competențele care îi sunt conferite în conformitate cu prezentul regulament pe teritoriul statului membru de care aparține.

(2)   În cazul în care prelucrarea este efectuată de autorități publice sau de organisme private care acționează pe baza articolului 6 alineatul (1) litera (c) sau (e), autoritatea de supraveghere din statul membru respectiv are competență. În astfel de cazuri, nu se aplică articolul 56.

(3)   Autoritățile de supraveghere nu sunt competente să supravegheze operațiunile de prelucrare ale instanțelor care acționează în exercițiul funcției lor judiciare.”

10

Articolul 77 din RGPD, intitulat „Dreptul de a depune o plângere la o autoritate de supraveghere”, prevede:

„(1)   Fără a aduce atingere oricăror alte căi de atac administrative sau judiciare, orice persoană vizată are dreptul de a depune o plângere la o autoritate de supraveghere, în special în statul membru în care își are reședința obișnuită, în care se află locul său de muncă sau în care a avut loc presupusa încălcare, în cazul în care consideră că prelucrarea datelor cu caracter personal care o vizează încalcă prezentul regulament.

(2)   Autoritatea de supraveghere la care s‑a depus plângerea informează reclamantul cu privire la evoluția și rezultatul plângerii, inclusiv posibilitatea de a exercita o cale de atac judiciară în temeiul articolului 78.”

11

Articolul 53 din Bundes‑Verfassungsgesetz (Legea constituțională federală) republicată la 2 ianuarie 1930 (BGBl. 1/1930), în versiunea aplicabilă faptelor din litigiul principal (denumită în continuare „B‑VG”), prevede:

„(1) Nationalrat [(Adunarea Națională, Austria)] poate decide constituirea unor comisii de anchetă. În plus, o comisie de anchetă se înființează la cererea unui sfert din membrii săi.

(2) Ancheta vizează o activitate anterioară într‑un domeniu care intră sub incidența puterii executive la nivel federal. Aceasta include toate activitățile organelor federale prin intermediul cărora guvernul federal, indiferent de gradul său de implicare, exercită competențe de participare și supraveghere. Este exclusă o revizuire a jurisprudenței.

(3) Toate organismele guvernului federal, ale landurilor, ale municipalităților și ale grupurilor de municipalități, precum și alte organisme autonome trebuie să prezinte, la cerere, dosarele și documentele lor unei comisii de anchetă, în măsura în care acestea fac obiectul anchetei, și sunt obligate să se conformeze solicitărilor unei comisii de anchetă în vederea colectării unor elemente de probă care au legătură cu obiectul anchetei. Această obligație nu se aplică prezentării dosarelor și a documentelor a căror divulgare ar putea compromite surse în sensul articolului 52a alineatul (2).

(4) Obligația prevăzută la alineatul (3) nu se aplică în măsura în care procesul legal de formare a voinței guvernului federal sau a unora dintre membrii săi sau pregătirea imediată a acestuia ar fi afectată.

[…]”

12

B‑VG prevede separarea între puterea legislativă, cea executivă și cea judecătorească. Orice atingere adusă acestui principiu al separării necesită un temei constituțional.

13

Articolul 1 alineatul (1) din Datenschutzgesetz (Legea privind protecția datelor) din 17 august 1999 (BGBl. I, 165/1999), în versiunea aplicabilă faptelor din litigiul principal (denumită în continuare „DSG”), prevede:

„Ținând seama în special de respectarea vieții sale private și de familie, orice persoană are dreptul la confidențialitatea datelor personale care o privesc, în măsura în care există un interes legitim. Nu există un astfel de interes atunci când datele nu conferă un drept la confidențialitate, fiind date accesibile publicului, sau este imposibilă stabilirea unui raport între aceste date și persoana interesată.”

14

Potrivit articolului 18 alineatul (1) din DSG:

„Se instituie Datenschutzbehörde ca autoritate națională de supraveghere în conformitate cu articolul 51 din RGPD.”

15

Articolul 24 alineatul 1 din DSG are următorul cuprins:

„Orice persoană vizată are dreptul de a depune o plângere la Datenschutzbehörde în cazul în care consideră că prelucrarea datelor cu caracter personal care o privesc constituie o încălcare a RGPD sau a articolului 1 sau a articolului 2 din prima parte principală.”

16

Articolul 35 din DSG prevede:

„(1) Datenschutzbehörde este responsabilă pentru asigurarea protecției datelor în conformitate cu prevederile RGPD și ale prezentei legi federale.

(2) Datenschutzbehörde își exercită de asemenea competențele față de organele supreme ale puterii executive prevăzute la articolul 19 din B‑VG, precum și față de organele supreme în conformitate cu dispozițiile articolului 30 alineatele (3)-(6), ale articolelor 125 și 134 alineatul (8), precum și ale articolului 148h alineatele 1 și 2 din B‑VG în ceea ce privește aspectele administrative care sunt de competența acestora.”

17

Prin decizia din 20 aprilie 2018, Adunarea Națională a constituit, în conformitate cu articolul 53 din B‑VG, o comisie de anchetă însărcinată cu clarificarea existenței unei eventuale influențe politice asupra Bundesamt für Verfassungsschutz und Terrorismusbekämpfung (Oficiul Federal pentru Protecția Constituției și pentru Combaterea Terorismului, Austria) (denumit în continuare „BVT”), căruia i‑a succedat, la 1 decembrie 2021, Direktion Staatsschutz und Nachrichtendienst (Direcția pentru Siguranța Statului și a Serviciilor de Informații, Austria).

18

La 19 septembrie 2018, această comisie de anchetă (denumită în continuare „comisia de anchetă BVT”) l‑a audiat pe WK în calitate de martor în cadrul unei audieri accesibile reprezentanților mass‑media. În pofida unei cereri de anonimizare formulate de WK, procesul‑verbal al acestei audieri, în care erau citate numele și prenumele sale complete, a fost publicat pe site‑ul internet al Parlament Österreich (parlamentul austriac).

19

La 2 aprilie 2019, WK a introdus o plângere la Datenschutzbehörde, în care susținea că publicarea, împotriva voinței sale, a procesului‑verbal al respectivei audieri, cu menționarea identității sale, era contrară dispozițiilor RGPD și articolului 1 din DSG. În susținerea plângerii sale, acesta a explicat că lucra ca agent infiltrat în grupul de intervenție al poliției însărcinat cu combaterea infracționalității pe drumurile publice.

20

Datenschutzbehörde a respins această plângere prin decizia din 18 septembrie 2019. Instituția menționată a considerat că, deși RGPD nu se opunea în principiu ca autoritățile de supraveghere să efectueze un control asupra organelor legislative, era totuși exclus, în temeiul principiului separării puterilor, ca puterea legislativă să fie supusă controlului din partea puterii executive. În aceste condiții și în măsura în care comisia de anchetă BVT făcea parte din puterea legislativă, Datenschutzbehörde, care este un organ al puterii executive, nu ar fi abilitată să controleze activitatea comisiei menționate și ar fi, prin urmare, necompetentă să se pronunțe cu privire la plângerea formulată de WK.

21

Prin decizia din 23 noiembrie 2020, Bundesverwaltungsgericht (Tribunalul Administrativ Federal, Austria) a admis acțiunea introdusă de WK și a anulat decizia Datenschutzbehörde. Acesta a statuat în esență că RGPD este aplicabil actelor legiuitorului și, prin urmare, celor ale comisiei de anchetă BVT. Astfel, domeniul de aplicare material al RGPD, după cum este definit la articolul 2 alineatul (1) din acesta, ar fi conceput în mod exhaustiv și ar viza toate prelucrările de date, independent de entitatea care efectuează prelucrarea și de funcția statală din care face parte această entitate. Pe de altă parte, nu s‑ar putea deduce din articolul 2 alineatul (2) din RGPD nicio derogare de la aplicabilitatea acestui regulament pentru anumite funcții ale statului, precum funcția legislativă, întrucât derogarea prevăzută la litera (a) a acestei dispoziții ar trebui interpretată în mod restrictiv. În consecință, potrivit Bundesverwaltungsgericht (Tribunalul Administrativ Federal), Datenschutzbehörde era competentă să se pronunțe cu privire la plângerea formulată de WK, în conformitate cu articolul 77 din regulamentul menționat.

22

Sesizat de Datenschutzbehörde cu recurs împotriva acestei decizii a Bundesverwaltungsgericht (Tribunalul Administrativ Federal), Verwaltungsgerichtshof (Curtea Administrativă, Austria), care este instanța de trimitere în prezenta cauză, ridică, în primul rând, problema dacă actele unei comisii de anchetă instituite de parlamentul unui stat membru sunt, chiar independent de obiectul anchetei, excluse din domeniul de aplicare al RGPD în temeiul articolului 2 alineatul (2) litera (a) din acesta și al articolului 16 alineatul (2) prima teză TFUE, pentru motivul că lucrările unei astfel de comisii constituie, prin natura lor, o activitate care nu intră sub incidența dreptului Uniunii.

23

În acest context, instanța menționată arată mai întâi că, în conformitate cu jurisprudența Curții în materie rezultată în special din Hotărârea din 9 iulie 2020, Land Hessen (C‑272/19, EU:C:2020:535), nu se poate impune, în scopul aplicării RGPD, ca prelucrarea datelor cu caracter personal în cauză să fie efectuată în mod concret în scopuri care intră sub incidența dreptului Uniunii, să fie transfrontalieră sau să afecteze în mod concret și direct libera circulație între statele membre. Aplicarea acestui regulament nu ar fi, dimpotrivă, exclusă decât dacă este îndeplinită cel puțin una dintre condițiile de aplicare a derogării prevăzute la articolul 2 alineatul (2) literele (a)-(d) din regulamentul menționat.

24

În această privință, instanța de trimitere amintește că, potrivit jurisprudenței Curții, articolul 2 alineatul (2) litera (a) din RGPD, interpretat în lumina considerentului (16) al acestui regulament, trebuie considerat ca având ca unic obiectiv excluderea din domeniul de aplicare al regulamentului menționat a prelucrărilor de date cu caracter personal efectuate de autoritățile de stat în cadrul unei activități de apărare a securității naționale sau al unei activități care poate fi încadrată în aceeași categorie. Activitățile care au ca scop apărarea securității naționale prevăzute la articolul 2 alineatul (2) litera (a) din RGPD ar cuprinde în special activitățile care au ca obiect protejarea funcțiilor esențiale ale statului și a intereselor fundamentale ale societății [Hotărârea din 22 iunie 2021, Latvijas Republikas Saeima (Puncte de penalizare), C‑439/19, EU:C:2021:504, punctele 62-67 și jurisprudența citată].

25

În continuare, aceasta subliniază anumite diferențe între comisia parlamentară în discuție în cauza în care s‑a pronunțat Hotărârea din 9 iulie 2020, Land Hessen (C‑272/19, EU:C:2020:535), și anume Comisia pentru petiții a Parlamentului Landului Hessen (Landul Hessen, Germania), și comisia de anchetă BVT. În special, lucrările acesteia din urmă nu ar contribui doar în mod indirect la activitatea parlamentară, ci ar constitui nucleul acestei activități, ca urmare a funcției de monitorizare conferite de B‑VG comisiilor de anchetă instituite de Adunarea Națională.

26

În sfârșit, instanța de trimitere face referire la principiul separării între puterea legislativă, cea executivă și cea judecătorească, principiu inerent atât dreptului fiecărui stat membru, cât și dreptului Uniunii. Desigur, articolul 55 alineatul (3) din RGPD s‑ar limita să excludă competența autorităților de supraveghere de a supraveghea prelucrarea datelor cu caracter personal efectuată de instanțe în exercitarea activităților lor jurisdicționale și nu ar viza prelucrările de date efectuate în cadrul nucleului activității parlamentare. Această tăcere s‑ar putea explica însă prin faptul că, pentru legiuitorul Uniunii, această din urmă activitate este deja exclusă din domeniul de aplicare al regulamentului menționat în temeiul articolului 2 alineatul (2) litera (a) din acesta.

27

În al doilea rând, instanța de trimitere subliniază că obiectul anchetei comisiei de anchetă BVT privește activități de securitate națională care, având în vedere considerentul (16) al RGPD, nu intră în domeniul de aplicare al dreptului Uniunii și sunt, așadar, excluse din domeniul de aplicare material al acestui regulament, în conformitate cu articolul 2 alineatul (2) litera (a) din acesta.

28

Astfel, presupunând că activitatea de control parlamentar a unei comisii de anchetă intră în principiu în domeniul de aplicare al dreptului Uniunii, în sensul articolului 16 alineatul (2) TFUE, ar mai trebui să se verifice dacă activitățile sale sunt cel puțin acoperite de excepția prevăzută la articolul 2 alineatul (2) litera (a) din RGPD, ținând seama de împrejurarea că obiectul anchetei privește activități ale puterii executive care, precum în speță, nu intră în domeniul de aplicare al dreptului Uniunii.

29

În al treilea rând, instanța de trimitere ridică problema dacă, ținând seama în special de principiul constituțional al separării puterilor în Austria, Datenschutzbehörde, singura autoritate națională de supraveghere în sensul articolului 51 din RGPD, este competentă, numai în temeiul acestui regulament, să se pronunțe cu privire la o plângere precum cea formulată de WK, în lipsa vreunei legături constituționale în dreptul național care să permită stabilirea unei astfel de competențe.

30

În aceste condiții, Verwaltungsgerichtshof (Curtea Administrativă) a decis să suspende judecarea cauzei și să adreseze Curții următoarele întrebări preliminare:

În cazul unui răspuns afirmativ la prima întrebare:

În cazul unui răspuns negativ la cea de a doua întrebare:

31

Prin intermediul primei întrebări, instanța de trimitere solicită în esență să se stabilească dacă articolul 16 alineatul (2) prima teză TFUE și articolul 2 alineatul (2) litera (a) din RGPD trebuie interpretate în sensul că o activitate, pentru simplul motiv că este exercitată de o comisie de anchetă instituită de parlamentul unui stat membru în exercitarea competenței sale de control asupra puterii executive, este situată în afara domeniului de aplicare al dreptului Uniunii și, prin urmare, nu i se aplică acest regulament.

32

Articolul 16 TFUE, care constituie temeiul juridic al RGPD, prevede la alineatul (2) că Parlamentul European și Consiliul Uniunii Europene stabilesc normele privind printre altele protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către statele membre în exercitarea unor activități care intră în domeniul de aplicare al dreptului Uniunii.

33

În conformitate cu această dispoziție, articolul 2 alineatul (1) din RGPD oferă o definiție foarte largă a domeniului de aplicare material al acestuia [Hotărârea din 22 iunie 2021, Latvijas Republikas Saeima (Puncte de penalizare), C‑439/19, EU:C:2021:504, punctul 61]. Dispoziția menționată prevede astfel că acest regulament „se aplică prelucrării datelor cu caracter personal, efectuată total sau parțial prin mijloace automatizate, precum și prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr‑un sistem de evidență a datelor sau care sunt destinate să facă parte dintr‑un sistem de evidență a datelor”.

34

În plus, același articol 2 din RGPD stabilește, la alineatele (2) și (3), în mod exhaustiv, excepțiile de la norma care definește domeniul de aplicare material al regulamentului menționat prevăzută la alineatul (1) al acestuia. În special, articolul 2 alineatul (2) litera (a) din regulamentul respectiv precizează că acesta nu se aplică prelucrării datelor cu caracter personal efectuate „în cadrul unei activități care nu intră sub incidența dreptului Uniunii”.

35

În acest context, instanța de trimitere ridică problema dacă o prelucrare a datelor cu caracter personal care se înscrie în cadrul activității unei comisii de anchetă instituite de parlamentul unui stat membru în exercitarea competenței sale de control asupra puterii executive intră, în orice caz și independent de obiectul anchetei, sub incidența excepției prevăzute la această din urmă dispoziție.

36

În această privință, trebuie amintit că, sub rezerva cazurilor menționate la articolul 2 alineatele (2) și (3), RGPD se aplică prelucrărilor efectuate atât de persoanele private, cât și de autoritățile publice (a se vedea în acest sens Hotărârea din 24 martie 2022, Autoriteit Persoonsgegevens, C‑245/20, EU:C:2022:216, punctul 25).

37

Reiese din jurisprudența Curții că excepția prevăzută la articolul 2 alineatul (2) din RGPD trebuie să primească o interpretare strictă [Hotărârea din 22 iunie 2021, Latvijas Republikas Saeima (Puncte de penalizare), C‑439/19, EU:C:2021:504, punctul 62 și jurisprudența citată]. În acest context, Curtea a avut deja ocazia să precizeze că articolul 2 alineatul (2) litera (a) din regulamentul menționat, interpretat în lumina considerentului (16) al acestui regulament, are ca unic obiectiv excluderea din domeniul de aplicare al acestuia a prelucrărilor de date cu caracter personal efectuate de autoritățile de stat în cadrul unei activități de apărare a securității naționale sau al unei activități care poate fi încadrată în aceeași categorie, astfel încât simplul fapt că o activitate este proprie statului sau unei autorități publice nu este suficient pentru ca această excepție să fie automat aplicabilă unei asemenea activități [Hotărârea din 22 iunie 2021, Latvijas Republikas Saeima (Puncte de penalizare), C‑439/19, EU:C:2021:504, punctul 66, și Hotărârea din 20 octombrie 2022, Koalitsia Demokratichna Bulgaria – Obedinenie, C‑306/21, EU:C:2022:813, punctul 39].

38

Această interpretare, care decurge deja din împrejurarea că articolul 2 alineatul (1) din RGPD nu stabilește nicio distincție în funcție de identitatea autorului prelucrării în cauză, este confirmată de articolul 4 punctul 7 din acest regulament, care definește noțiunea de „operator” ca referindu‑se la „persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare”.

39

Tocmai în interpretarea acestei din urmă dispoziții, Curtea a statuat că, în măsura în care determină, singură sau împreună cu altele, scopurile și mijloacele de prelucrare, o comisie pentru petiții a parlamentului unui stat federat al unui stat membru trebuie calificată drept „operator”, în sensul dispoziției respective, astfel încât prelucrarea datelor cu caracter personal efectuată de o asemenea comisie intră în domeniul de aplicare al regulamentului menționat (Hotărârea din 9 iulie 2020, Land Hessen, C‑272/19, EU:C:2020:535, punctul 74).

40

Împrejurarea, evidențiată de Präsident des Nationalrates (președintele Adunării Naționale, Austria), potrivit căreia, spre deosebire de Comisia pentru petiții în discuție în cauza în care s‑a pronunțat Hotărârea din 9 iulie 2020, Land Hessen (C‑272/19, EU:C:2020:535), care nu contribuia decât indirect la activitatea parlamentară, comisia de anchetă BVT este un organ a cărui activitate este în mod direct și exclusiv de natură parlamentară, nu implică excluderea activităților acestei din urmă comisii din domeniul de aplicare al RGPD.

41

Astfel, după cum a arătat în esență domnul avocat general la punctul 84 din concluzii, excepția de la domeniul de aplicare al RGPD prevăzută la articolul 2 alineatul (2) litera (a) din acest regulament se referă numai la categorii de activități care, prin natura lor, nu intră în domeniul de aplicare al dreptului Uniunii, iar nu la categorii de persoane, după cum acestea au o natură privată sau publică, nici, atunci când operatorul este o autoritate publică, la împrejurarea că sarcinile și funcțiile acesteia intră în mod direct și exclusiv sub incidența unei anumite prerogative de putere publică, fără ca această prerogativă să aibă legătură cu o activitate care nu intră în niciun caz în domeniul de aplicare al dreptului Uniunii.

42

Prin urmare, împrejurarea că prelucrarea datelor cu caracter personal este efectuată de o comisie de anchetă instituită de parlamentul unui stat membru în exercitarea competenței sale de control asupra puterii executive nu permite, ca atare, să se stabilească faptul că această prelucrare este efectuată în cadrul unei activități care nu intră sub incidența dreptului Uniunii, în sensul articolului 2 alineatul (2) litera (a) din RGPD.

43

Având în vedere ceea ce precedă, trebuie să se răspundă la prima întrebare că articolul 16 alineatul (2) prima teză TFUE și articolul 2 alineatul (2) litera (a) din RGPD trebuie interpretate în sensul că nu se poate considera că o activitate este situată în afara domeniului de aplicare al dreptului Uniunii și că, prin urmare, nu i se aplică acest regulament pentru simplul motiv că este exercitată de o comisie de anchetă instituită de parlamentul unui stat membru în exercitarea competenței sale de control asupra puterii executive.

44

Prin intermediul celei de a doua întrebări, instanța de trimitere solicită în esență să se stabilească dacă articolul 2 alineatul (2) litera (a) din RGPD, citit în lumina considerentului (16) al acestuia, trebuie interpretat în sensul că nu pot fi considerate activități referitoare la securitatea națională situate în afara domeniului de aplicare al dreptului Uniunii, în sensul acestei dispoziții, activitățile unei comisii de anchetă instituite de parlamentul unui stat membru în exercitarea competenței sale de control asupra puterii executive, care au ca obiect anchetarea activităților unei autorități polițienești de protecție a statului ca urmare a unei suspiciuni de influență politică asupra acestei autorități.

45

Astfel cum s‑a amintit la punctul 37 din prezenta hotărâre, articolul 2 alineatul (2) litera (a) din RGPD trebuie interpretat în mod strict și are ca unic obiectiv excluderea din domeniul de aplicare al regulamentului menționat a prelucrărilor de date cu caracter personal efectuate de autoritățile de stat în cadrul unei activități de apărare a securității naționale sau al unei activități care poate fi încadrată în aceeași categorie.

46

Activitățile care au ca scop apărarea securității naționale în sensul articolului 2 alineatul (2) litera (a) din RGPD acoperă în special activitățile care au ca obiect protejarea funcțiilor esențiale ale statului și a intereselor fundamentale ale societății [Hotărârea din 22 iunie 2021, Latvijas Republikas Saeima (Puncte de penalizare), C‑439/19, EU:C:2021:504, punctul 67, și Hotărârea din 20 octombrie 2022, Koalitsia Demokratichna Bulgaria – Obedinenie, C‑306/21, EU:C:2022:813, punctul 40].

47

Conform articolului 4 alineatul (2) TUE, astfel de activități rămân responsabilitatea exclusivă a statelor membre (a se vedea în acest sens Hotărârea din 15 iulie 2021, Ministrstvo za obrambo,C‑742/19, EU:C:2021:597, punctul 36).

48

În speță, din dosarul de care dispune Curtea reiese că Comisia de anchetă BVT a fost instituită de Adunarea Națională pentru a ancheta existența unei eventuale influențe politice asupra BVT, a cărei misiune consta, în perioada în discuție în litigiul principal, în asigurarea protecției constituției și în combaterea terorismului.

49

Președintele Adunării Naționale și guvernul ceh consideră în esență că, întrucât sarcinile BVT includ „activități legate de securitatea națională”, activitățile sale intrau sub incidența excepției prevăzute la articolul 2 alineatul (2) litera (a) din RGPD. Or, activitățile unei comisii de anchetă a parlamentului unui stat membru constând în controlarea unor organe de stat care, precum BVT, sunt însărcinate să asigure securitatea națională ar intra de asemenea în sfera noțiunii de activități referitoare la securitatea națională. Astfel, obiectivul activității de control a unei asemenea comisii de anchetă ar fi de a verifica dacă autoritățile controlate asigură în mod corect securitatea națională.

50

În această privință, trebuie arătat că, deși este de competența statelor membre, conform articolului 4 alineatul (2) TUE, să își definească interesele esențiale de securitate și să adopte măsurile apte să asigure securitatea lor internă și externă, simplul fapt că o măsură națională a fost adoptată în vederea protejării securității naționale nu poate să determine inaplicabilitatea dreptului Uniunii și nici să absolve statele membre de necesitatea de a respecta acest drept (a se vedea în acest sens Hotărârea din 15 iulie 2021, Ministrstvo za obrambo, C‑742/19, EU:C:2021:597, punctul 40 și jurisprudența citată).

51

Or, astfel cum s‑a amintit la punctul 41 din prezenta hotărâre, excepția prevăzută la articolul 2 alineatul (2) litera (a) din RGPD se referă numai la categorii de activități care, prin natura lor, nu intră sub incidența dreptului Uniunii, iar nu la categorii de persoane, după cum acestea au o natură privată sau publică, nici, atunci când operatorul este o autoritate publică, la împrejurarea că sarcinile și funcțiile acesteia țin în mod direct și exclusiv de o anumită prerogativă de putere publică, fără ca această prerogativă să aibă legătură cu o activitate care nu intră în niciun caz sub incidența dreptului Uniunii. În această privință, împrejurarea că operatorul este o autoritate publică a cărei activitate principală este de a asigura securitatea națională nu poate fi suficientă, ca atare, pentru a exclude din domeniul de aplicare al RGPD prelucrările de date cu caracter personal efectuate de această autoritate în cadrul celorlalte activități desfășurate de ea.

52

În speță, din dosarul de care dispune Curtea reiese că comisia de anchetă în discuție în litigiul principal avea ca obiect efectuarea unui control politic al activității BVT ca urmare a unei suspiciuni de influență politică asupra organismului menționat, fără ca acest control să constituie, ca atare, o activitate prin care se urmărește menținerea securității naționale sau care poate fi încadrată în aceeași categorie, în sensul jurisprudenței amintite la punctul 45 din prezenta hotărâre. Rezultă că, sub rezerva verificării de către instanța de trimitere, această activitate nu este exclusă din domeniul de aplicare al RGPD în temeiul articolului 2 alineatul (2) litera (a) din acesta.

53

În aceste condiții, o comisie de anchetă parlamentară precum cea în discuție în litigiul principal poate, în cadrul lucrărilor sale, să aibă acces la informații, în special la date cu caracter personal, care, pentru motive legate de securitatea națională, trebuie să beneficieze de o protecție specială, care constă, de exemplu, în restricționarea informațiilor care trebuie furnizate persoanelor vizate în ceea ce privește colectarea acestor date sau chiar a accesului acelorași persoane la datele menționate.

54

În această privință, articolul 23 din RGPD prevede că pot fi stabilite restricții, prin intermediul unor măsuri legislative, privind obligațiile și drepturile prevăzute la articolele 5, 12-22 și 34 din RGPD pentru a garanta printre altele securitatea națională sau o funcție de monitorizare legată de exercitarea autorității publice, în special în contextul securității naționale.

55

Astfel, cerința de protejare a securității naționale poate justifica restricții, prin intermediul unor măsuri legislative, privind obligațiile și drepturile care decurg din RGPD, în special în ceea ce privește colectarea datelor cu caracter personal, informarea persoanelor vizate și accesul lor la respectivele date sau divulgarea acestora, fără consimțământul persoanelor vizate, altor persoane decât operatorul, cu condiția ca astfel de restricții să respecte esența drepturilor și libertăților fundamentale ale persoanelor vizate și să constituie o măsură necesară și proporțională într‑o societate democratică.

56

În speță, din dosarul de care dispune Curtea nu reiese însă că comisia de anchetă BVT ar fi susținut că divulgarea datelor cu caracter personal ale WK, intervenită cu ocazia publicării pe site‑ul internet al parlamentului austriac a procesului‑verbal al audierii sale în fața acestei comisii și fără consimțământul acestei persoane, era necesară pentru protejarea securității naționale și întemeiată pe o măsură legislativă națională prevăzută în acest scop. Revine însă instanței de trimitere, dacă este cazul, sarcina de a efectua verificările necesare în această privință.

57

Având în vedere ceea ce precedă, trebuie să se răspundă la a doua întrebare că articolul 2 alineatul (2) litera (a) din RGPD, citit în lumina considerentului (16) al acestuia, trebuie interpretat în sensul că nu pot fi considerate, ca atare, drept activități referitoare la securitatea națională situate în afara domeniului de aplicare al dreptului Uniunii, în sensul acestei dispoziții, activitățile unei comisii de anchetă instituite de parlamentul unui stat membru în exercitarea competenței sale de control asupra puterii executive, care au ca obiect anchetarea activităților unei autorități polițienești de protecție a statului ca urmare a unei suspiciuni de influență politică asupra acestei autorități.

58

Prin intermediul celei de a treia întrebări, instanța de trimitere solicită în esență să se stabilească dacă articolul 77 alineatul (1) și articolul 55 alineatul (1) din RGPD trebuie interpretate în sensul că, atunci când un stat membru a ales, în conformitate cu articolul 51 alineatul (1) din acest regulament, să instituie o singură autoritate de supraveghere, fără a‑i atribui însă competența de a monitoriza aplicarea RGPD de către o comisie de anchetă instituită de parlamentul acestui stat membru în exercitarea competenței sale de control asupra puterii executive, dispozițiile menționate conferă în mod direct respectivei autorități competența de a soluționa plângeri referitoare la prelucrări de date cu caracter personal efectuate de comisia de anchetă menționată.

59

Pentru a răspunde la această întrebare, trebuie amintit că, potrivit articolului 288 al doilea paragraf TFUE, regulamentul este obligatoriu în toate elementele sale și se aplică direct în fiecare stat membru.

60

Potrivit unei jurisprudențe consacrate, în temeiul acestei dispoziții și având în vedere însăși natura regulamentelor și funcția lor în sistemul de izvoare ale dreptului Uniunii, dispozițiile regulamentelor au în general un efect imediat în ordinile juridice naționale, fără a fi necesar ca autoritățile naționale să adopte măsuri de aplicare (Hotărârea din 15 iunie 2021, Facebook Ireland și alții, C‑645/19, EU:C:2021:483, punctul 110, precum și jurisprudența citată).

61

Or, pe de o parte, potrivit articolului 77 alineatul (1) din RGPD, orice persoană vizată are dreptul de a depune o plângere la o autoritate de supraveghere, în cazul în care consideră că prelucrarea datelor cu caracter personal care o vizează încalcă acest regulament. Pe de altă parte, potrivit articolului 55 alineatul (1) din regulamentul menționat, fiecare autoritate de supraveghere are competența să îndeplinească sarcinile și să exercite competențele care îi sunt conferite în conformitate cu același regulament pe teritoriul statului membru de care aparține.

62

Din modul de redactare a acestor dispoziții reiese că, astfel cum a arătat în esență domnul avocat general la punctul 132 din concluzii, articolul 77 alineatul (1) și articolul 55 alineatul (1) din RGPD nu necesită, pentru implementarea lor, adoptarea unor măsuri naționale de punere în aplicare și sunt suficient de clare, de precise și de necondiționate pentru a avea efect direct.

63

Rezultă că, deși RGPD recunoaște, în conformitate cu articolul 51 alineatul (1) din acesta, o marjă de apreciere statelor membre în ceea ce privește numărul de autorități de supraveghere care urmează să fie instituite, acesta stabilește în schimb întinderea competenței pe care trebuie să o aibă aceste autorități, indiferent de numărul lor, pentru a monitoriza aplicarea regulamentului menționat.

64

Astfel, după cum a arătat în esență domnul avocat general la punctul 137 din concluzii, în cazul în care un stat membru alege să instituie o singură autoritate de supraveghere, aceasta dispune în mod necesar de totalitatea competențelor pe care RGPD le conferă autorităților de supraveghere.

65

Orice altă interpretare ar repune în discuție efectul util al articolului 55 alineatul (1) și al articolului 77 alineatul (1) din RGPD și ar risca să slăbească efectul util al tuturor celorlalte dispoziții din acest regulament care pot fi afectate de o plângere.

66

În plus, atunci când legiuitorul Uniunii a intenționat să limiteze competența autorităților de supraveghere în materie de supraveghere a operațiunilor de prelucrare efectuate de autorități publice, a făcut acest lucru în mod expres, astfel cum atestă articolul 55 alineatul (3) din RGPD, potrivit căruia aceste autorități nu sunt competente să supravegheze operațiunile de prelucrare efectuate de instanțe în exercitarea funcției lor judiciare.

67

Datenschutzbehörde, președintele Adunării Naționale și guvernul austriac arată că dispoziții de drept austriac de rang constituțional interzic puterii executive să exercite orice control asupra puterii legislative. Aceste dispoziții ar exclude, așadar, posibilitatea Datenschutzbehörde, care depinde de puterea executivă, de a monitoriza aplicarea RGPD de către comisia de anchetă BVT, organ care face parte din puterea legislativă.

68

Cu toate acestea, în speță, tocmai cu respectarea structurii constituționale a statelor membre articolul 51 alineatul (1) din RGPD se limitează să impună statelor membre să instituie cel puțin o autoritate de supraveghere, oferindu‑le în același timp posibilitatea de a institui mai multe autorități. De altfel, considerentul (117) al acestui regulament precizează că statele membre ar trebui să poată institui mai multe autorități de supraveghere, pentru a reflecta structura lor constituțională, organizatorică și administrativă.

69

Articolul 51 alineatul (1) din RGPD recunoaște astfel fiecărui stat membru o marjă de apreciere care să îi permită să instituie atâtea autorități de supraveghere câte impun, printre altele, cerințele legate de structura sa constituțională.

70

În plus, trebuie amintit că invocarea de către un stat membru a unor dispoziții de drept național nu poate aduce atingere unității și eficacității dreptului Uniunii. Într‑adevăr, efectele asociate principiului supremației dreptului Uniunii se impun tuturor organelor unui stat membru, fără, în special, ca dispozițiile interne, inclusiv de ordin constituțional, să poată împiedica acest lucru [Hotărârea din 22 februarie 2022, RS (Efectul deciziilor unei curți constituționale), C‑430/21, EU:C:2022:99, punctul 51 și jurisprudența citată].

71

Din moment ce, în cadrul marjei sale de apreciere, un stat membru a ales să instituie o singură autoritate de supraveghere, acesta nu poate invoca dispoziții de drept național, nici chiar de ordin constituțional, pentru a sustrage prelucrările de date cu caracter personal care intră în domeniul de aplicare al RGPD de la supravegherea din partea acestei autorități.

72

Ținând seama de ceea ce precedă, trebuie să se răspundă la a treia întrebare că articolul 77 alineatul (1) și articolul 55 alineatul (1) din RGPD trebuie interpretate în sensul că, atunci când un stat membru a ales, în conformitate cu articolul 51 alineatul (1) din acest regulament, să instituie o singură autoritate de supraveghere, fără a‑i atribui însă competența de a monitoriza aplicarea regulamentului menționat de către o comisie de anchetă instituită de parlamentul acestui stat membru în exercitarea competenței sale de control asupra puterii executive, dispozițiile menționate conferă în mod direct respectivei autorități competența de a soluționa plângeri referitoare la prelucrări de date cu caracter personal efectuate de comisia de anchetă menționată.

73

Întrucât, în privința părților din acțiunea principală, procedura are caracterul unui incident survenit la instanța de trimitere, este de competența acesteia să se pronunțe cu privire la cheltuielile de judecată. Cheltuielile efectuate pentru a prezenta observații Curții, altele decât cele ale părților menționate, nu pot face obiectul unei rambursări.

Pentru aceste motive, Curtea (Marea Cameră) declară: